一次对域渗透的尝试.docVIP

先对目标站进行信息收集：扫了下目录，iis6，发现了后台，并且存在目录遍历： 存在目录遍历我寻思着找点有用的东西，看看有没有前人留下的脚印啥的，直接踩上去多方便，但是翻了一半天无果。从前台找找有没有有用的东西，发现新闻更新的挺勤的，说明管理员还是经常上线，想着x点cookie,结果找遍了都没有发现可以x的地方。 结果惊喜发现存在sql注入： 做到了这里，心想这个站还不轻松拿下么？？感觉shell已经在向我招手啦，用sqlmap跑起来： 解出Md5，前边已经得出了后台地址，于是转至后台拿shell，然后添加产品传图片 几番测试，发现是白名单过滤，考虑用iis6的解析漏洞来搞，但是，传上去会被重命名： 用bursuite抓了一下包试试，截断一下也不管用，感觉拿shell陷入困境。 整理了下思路，这个网站有注入点，是Php+mysql+iis6这样的结构，有后台地址，存在目录遍历，后台拿shell是失败了，但是前台拿shell呢？但是前台写shell需要满足三个条件，一个是权限，一个是转义函数是否开启，一个是网站物理路径。于是测试了一下，发现是dba权限： 好了，现在我们权限有了。然后也发现了魔法转义函数并没有开启： 那么第三个问题来啊了，网站物理路径上哪里去找？这是个很头疼的问题，大多数时候都是通过报错来找，但是很可惜这个网站报错爆不出物理路径，想通过目录遍历来翻找，但是也还是找不到。